すべての機能をご利用いただくためには、JavaScriptの設定を有効にしてください。
設定方法は、ヘルプをご覧ください。

無題なブログ

サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

ウイルス（Mac）

リスト
詳細

　AppleのMac OS X向けのウイルスや偽セキュリティソフトについてのエントリーです。Mac OS X向けウイルスの種類は2011年5月時点で２ケタです。いつになったら３ケタに達しますかいな？ちなみに、Windows向けのウイルスは1日に万の単位が投入されてるそうです。

　2011年5～6月には偽セキュリティソフトの感染騒ぎが起きました。日本のMac OS Xユーザーにも初めてまとまった感染被害の報告がでています。2012年2月からはJava for Macの脆弱性を悪用したFlashbackマルエウェアの感染攻撃もありました。

　Macのウイルス感染攻撃で脆弱性の悪用があったソフト
○ Microsoft Office for Mac
○ Java for Mac

・まずはSafariの危険な設定をオフにせよ！
・ Mac用ウイルス対策、アンチウイルスソフト（フリー＆有償製品）
・無料ウイルスファイル判定スキャン

記事検索

全5ページ

[1] [2] [3] [4] [5]

[ 次のページ ]

Macトロイの木馬Flashbackマルウェア感染によるボットネットの規模は？

　Mac OS Xトロイの木馬Flashbackの感染により構築されたボットネットの台数が世界で60万台の情報を発表して話題になったセキュリティ会社ドクターウェブの情報。日本は0.1％としてましたが、世界各地の詳細な台数を昨日発表してます。

・ BackDoor.Flashback geo statistics （Doctor Web）

　あと、MacマシンのUUID値からボットネットに組み込まれてるかどうか調べることができるオンラインチェッカーを公開してます。
・ Dr.Web C&C Botnet HW-UUID checker

　また、セキュリティ会社カスペルスキーも調査を行った結果を今日発表しました。（カスペは「Flashfake」というウイルス検出名）

・ Flashfake Mac OS X botnet confirmed （Kaspersky）

Mac OS XのFlashbackマルウェア感染で世界60万台ボットネット構築

　Java for Macの旧バージョンにある脆弱性を悪用したウイルス感染攻撃。ロシアのセキュリティ会社Doctor Web（Dr.Web）によると、Mac OS X向けマルウェアFlashbackの感染で構築されたボットネット（ゾンビマシン）の規模が60万台以上確認してるとか。下の報告だと55万台としてるけど、中の人がTwitterで60万台以上になってると追加報告してます。
・ 55万台もの強力なMacボットネットを発見（Doctor Web）
・ 60万台以上の「Mac」がトロイの木馬「Flashback」に感染か（CNET Japan）

１. アメリカ （56.6％、感染したホスト数 303,449台）
２. カナダ （19.8％、106,379台）
３. イギリス （12.8％ 、68,577台）
４. オーストラリア （6.1％ 、32,527台）
　　:
？. 日本 （0.1％）

　それぞれのボットは、コントロールサーバーへ送信するクエリ内に、感染したコンピューターのユニークなIDを含んでいます。Doctor Webのアナリストは、シンクホールテクノロジーを使用してボットネットトラフィックを自身のサーバーへとリダレクトすることで、感染したホストの数を割り出しました。

　米国が特に多いということで、これはFlashbackマルウェアを配信するための攻撃サイトへ転送させるMacユーザーに縛りがあったことが影響してると思います。たとえば、Safariブラウザだとユーザーエージェントの文字列が↓のようになってると転送されます。

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2; en-us) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22

　逆に、↓のようになってると攻撃サイトへは転送されず弾かれます。24時間見張ってたわけじゃないので、この振り分けをどの程度実行してたのかは攻撃者にしか分かりませんが。

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2; ja-jp) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22

● 現在のFlashbackマルウェア配信サイトの様子・・・
　昨日4日までこんな感じで稼動してましたが、今日Doctor Webが感染台数や配信サイトのURLなど詳細は情報を出して、かなり騒ぎが大きくなったからなのか、現在は稼働停止状態になってます。攻撃サイトへ転送させるリダイレクターページの１つを見てみると、今はダミーとして検索エンジンBingへ転送される～。

[追記...]
　Doctor WebがFlashbackマルウェアの感染マシンが存在する地理情報について発表してます。日本は485台となってます。
・ BackDoor.Flashback geo statistics

コメント（0）

トラックバック（0）

MacのFlashbackウイルス感染にJava脆弱性ゼロデイ攻撃、修正版リリース

　Java for Macの脆弱性（CVE-2012-0507）を悪用してウイルス感染攻撃。Windows向けJavaは先々月2月にリリースされた「1.6.0_31」でこの脆弱性の修正が行われてますが、Java for Macの方は「1.6.0_29」になるので、最新版に更新してあっても対処できないゼロデイ攻撃の状態になってたことに。
・未パッチのJava脆弱性を悪用するMac Flashback （F-Secure）

　これを受け、AppleはJava for Macの最新版「1.6.0_31」を今日リリースし対処。

・ About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7

　んで、この攻撃がMac OS Xマシン向けに始まったのが先月3月17日です。下に書き出してあった「al-*.jar」がその不正なファイルになります。セキュリティ会社がすぐに注意情報を出すと思ってたけど、何も動きなく2週間経ってやっと表に･･･。
・ Mac OS X Flashbackウイルスと Javaエクスプロイト（その２）

　もう古いものですが、17日時点の「al-*.jar」ファイルの中で悪用処理部分はこんな感じ。27行目に見える「xnm」が「al-*.jar」に内蔵されているFlashbackマルウェア本体です。

・ Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認（IBM Tokyo SOC）
・ Oracle Java SE JDKおよびJREの Concurrencyサブコンポーネントにおける脆弱性（CVE-2012-0507）に関する検証レポート（NTTデータ先端技術株式会社）

コメント（0）

トラックバック（0）

Google画像検索経由でFlashbackウイルスに感染する恐れ【Mac OS X】

　去年の2011年5～6月にかけてMac OS X向け偽セキュリティソフトMacDefenderの配信キャンペーンが行われ、日本のMacユーザーにも複数の感染被害報告がでましたな。この配信キャンペーンがうまく成功した一番の原因は、感染経路の１つとして画像検索エンジンに不正なページを大量インデックスしていた攻撃者が参加していたことにあります。

・ Google・Yahoo画像検索でウイルス感染（読売新聞）

　3月26日になって、この攻撃者がFlashbackウイルスの配信キャンペーンに参加するようになりました。Google（画像検索）の結果に登録されてる不正なページの画像をクリックすると、Mac OS X用攻撃ページに強制リダイレクトされウイルス感染攻撃が行われる形になります。（WindowsパソコンだとWindows用攻撃ページへ移動する）

　Mac OS X用攻撃ページの26日時点の様子は↓な感じでした。以前まであった動画サイトUstream（ustream.tv）を表面上ブラウザ上に表示する処理がなくなってます。ピンクの囲いが新たな処理の１つ。

　そして、赤い囲いのJavaアプレットとして2つのファイルが用意されてます。「rh-*.jar」は Java for Mac のバージョンが「1.6.0_26」以下の場合に読み込まれるようになってます。
・ rh-*.jar 脆弱性CVE-2011-3544
・ al-*.jar

　そして、この記事を書いてる28日時点の最新の様子が↓。一時的なのかもしれませんが、「rh-*.jar」の処理がなくなり、Javaアプレットとして1つのファイルだけ読み込むようになってます。（画像上にカーソルを持って行くと拡大マークが出ます）

　この「al-*.jar」ファイルは、Java for Mac が最新版「1.6.0_29」であっても読み込まれるようになってます。去年のこともあるので、リスクを低減するためブラウザの設定でJavaを切ってしまった方がいいような気がしますねぇ。（名前が似ていて混同されるJavaScriptの話でななくJava！）
・目下のMacマルウェア（エフセキュアブログ） Safariの設定
・ Java プラグイン利用ガイド（Firefox ヘルプ）

コメント（0）

トラックバック（0）

Mac OS X Flashbackウイルスと Javaエクスプロイト（その２）

　Mac OS XをターゲットにMac for Javaの旧バージョンにある脆弱性を悪用しFlashbackマルウェアを強制的に送り込む脅威の続編です。

・ Mac OS X Flashbackウイルスと Javaエクスプロイト

　前回の記事を書いた当時のウイルス配信サイトにはJavaの脆弱性を悪用するための処理が２つ用意されていて、先月末にCVE-2008-5353を悪用する処理が消えCVE-2011-3544の処理一本になったと追記の情報で書いてましたが、これは一時的だったようで程無くして元に戻ってました。
・ rh-*.jar → CVE-2011-3544
・ cl-*.jar → CVE-2008-5353

　んで、今日17日に動きがあって新たに３つ目の処理が新たに追加されたのを確認しました。
・ al-*.jar → なんじゃこれ!?